实验二 数字证书应用

实验二 数字证书应用

一、 实验目的:

该实验为验证性实验。

  1. 了解PKI体系
  2. 了解用户进行证书申请和CA颁发证书过程
  3. 掌握认证服务的安装及配置方法
  4. 掌握使用数字证书配置安全站点的方法

二、 实验内容

  1. 利用数字证书建立安全Web通信

三、实验步骤

需要三台主机,一台担任CA(安装IIS+证书组件),一台担任应用服务器(安装IIS),一台客户端。

1. 无认证(服务器和客户端均不需要身份认证)通常在Web服务器端没有做任何加密设置的情况下,其与客户端的通信是以明文方式进行的。通过wireshark捕获WEB通信查看。

2. 单向认证(仅服务器需要身份认证)

(1) 安装IIS

(2) CA(主机A)安装证书服务

安装Windows组件中的“证书服务”。

在启动“证书颁发机构”服务后,主机A便拥有了CA的角色。

(3) 服务器(主机B)证书申请

ν 提交服务器证书申请

ν 通过Web服务向CA申请证书

ν CA为服务器颁发证书

(3)服务器(主机B)安装证书

ν 服务器下载、安装由CA颁发的证书

ν 服务器下载、安装由CA颁发的证书

此时服务器证书已安装完毕,可以单击“目录安全性”页签中单击“查看证书”按钮,查看证书的内容,回答下面问题。

证书信息描述:无法将这个证书验证到一个受信任的证书颁发机构。

颁发者:user85。

打开IE浏览器点击“工具”|“Internet选项”|“内容”|“证书”,在“受信任的根证书颁发机构”页签中查看CA的根证书,查看其是否存在 不存在 。

ν 服务器下载、安装CA根证书

再次查看服务器证书,回答下列问题:

证书信息描述:   保证远程计算机的身份                     。

颁发者: user85     。

再次通过IE浏览器查看“受信任的根证书颁发机构”,查看CA的根证书,查看其是否存在 存在     。

(1) Web通信

在服务器端设置“要求安全通道SSL”,并且“忽略客户端证书”(不需要客户端身份认证),单击“确定”按钮使设置生效。

客户端重启IE浏览器,在地址栏输入http://服务器IP/并确认,此时访问的Web页面出现如图所示信息。

页面信息

客户端启动协议分析器,捕获数据。验证服务器与客户端的Web通信过程是以密文实现的。

3. 双向认证(服务器和客户端均需身份认证)

(1) 服务器要求客户端身份认证

(2) 客户端访问服务器

(3) 客户端(主机C)证书申请

「注」 客户端向CA进行证书申请时,要确保在当前时间CA已经成功拥有了自身的角色。

  • 登录CA服务主页面

客户端在确认CA已经启动了“证书颁发机构”服务后,通过IE浏览器访问http://CA的IP/certsrv/,可以看到CA证书服务的主页面。

  • 登录CA服务主页面

    客户端在确认CA已经启动了“证书颁发机构”服务后,通过IE浏览器访问http://CA的IP/certsrv/,可以看到CA证书服务的主页面。

  • 客户端提交证书申请
  • CA为客户端颁发证书

  • 客户端下载、安装证书链

一、 思考题

1. 如果用户将根证书删除,用户证书是否还会被信任?

答:如果删除,用户证书将不会被信任。

2. 对比两次协议分析器捕获的会话有什么差异?

答:无认证状态下捕获的会话是明文,双向认证捕获的是密文。

时间: 2024-09-28 18:24:03

实验二 数字证书应用的相关文章

20155201李卓雯 20155212江振思 20155313杨瀚《信息安全技术》 实验三 数字证书应用

20155201李卓雯 20155212江振思 20155313杨瀚<信息安全技术> 实验三 数字证书应用 实验环境 操作系统:3台基于Win7系统的Windows Server 2003虚拟机 主机编号 角色 IP地址 7D CA 172.168.1.107 7E 服务器 172.168.1.115 7F 客户端 172.168.1.105 工具 IIS组件 证书组件 协议分析器 IE浏览器 实验原理 一.PKI技术 PKI是PublicKeyInfrastructure的缩写,通常译为公钥

《信息安全技术》实验三 数字证书应用

实验目的 了解PKI体系 了解用户进行证书申请和CA颁发证书过程 掌握认证服务的安装及配置方法 掌握使用数字证书配置安全站点的方法 实验内容 利用数字证书建立安全Web通信 实验人数 每组3人,本组为20155304 20155310 20155337 实验环境 系统环境 Windows Server 2003虚拟机 网络环境 交换网络结构 实验工具 Windows CA 网络协议分析器 实验类型 验证型 实验原理

(二)数字证书和数字时间戳

一.证书 概要 证书是一个[经证书认证中心数字签名的]包含[公开密钥拥有者信息以及公开密钥的文件].证书格式及证书内容遵循X.509标准. 从证书的用途来看,数字证书分为签名证书和加密证书. a)         签名证书主要用于对用户信息进行签名,以保证信息的不可否认性(身份认证): b)         加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性(传输加密). 目前最安全的数字证书是由第三方 CA 机构(比如 GlobalSign)认证的数字证书,数字证书保存在[经国

基于数字证书的二次登录认证流程

简介: 使用数字证书用来做二次登录认证是一种已经广泛使用的,能够有效保护用户账户的手段,即用户如果开启了数字证书保护,登录到应用系统时,不仅需要输入用户的账户和口令,还需要有这张证书配合才能登录,因此,即便用户的账户被盗去,在没有数字证书的情况下一样无法登录系统. 1.用户申请新证书流程: 场景1:用户登录YS,开启数字证书登录功能和新建证书申请. 2.用户使用数字证书登录流程(假设用户已开启数字证书). 3.删除证书流程: 4.关闭证书认证功能流程:

Java 生成数字证书系列(二)剖析数字证书

序 上一篇介绍了一下 CA 证书的几个相关概念,这几个概念还是很重要的,目的在于了解数字证书,以及其的工作原理.这篇文章主要是对 CA 证书进行剖析,讲一下证书的基本构成,这对于生成正确的.可以访问的证书是必不可少的. 构成 废话不多说,直接上内容. 先看一下证书到底是什么,在 Windows 下查看证书时(这里以 cer 为例),界面是这样的. 常规 选项卡里,主要介绍了证书信息,颁发者,和有效日期等. 而 详细信息 选项卡中,包含的信息是比较多的,他们都是以一种 Key - Value 的形

基于数字证书认证的 IPSec VPN 配置

一.数字证书的相关术语 1.数字签名 数字签名基于哈希算法和公钥加密算法,对明文报文先用哈希算法计算摘要,然后用私钥对摘要进行加密,得到的一段数字串就是原文的数字签名数字签名与原文一起传送给接收者.接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比.如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性. 2.数字证书 数字证书是由权威机构发行的,用来证明自己的身份和验

SSL,HTTPS,数字证书 是什么?

一.SSL协议简介 SSL是Secure Socket Layer的缩写,中文名为安全套接层协议层.使用该协议后,您提交的所有数据会首先加密后,再提交到网易邮箱,从而可以有效防止黑客盗取您的用户名.密码和通讯内容,保证了您个人内容的安全.是提供通信保密的安全性协议.SSL最初是由美国Netscape公司研究出来的,现已成为网络上用来鉴别网站的真实身份,以及在浏览器与网站WEB服务器之间进行加密通讯的全球化标准.由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装SSL服务器

设置通过数字证书方式登录远程连接Linux服务器,禁止root账户远程密码方式远程连接服务器

//前几步是做过实验的,会的盆友可以直接跳过看后面部分 一.首先开启SSH数字证书方式登录的策略 修改配置文件/etc/ssh/sshd_config,下列三项为图中的样子,去掉注释启用配置,开启数字证书登录方式 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 二.设置公私钥 过程比较简单,之前是做过实验写过博客的(https://www.cnblogs.com/hai-

20145221高其&amp;20145326蔡馨熠《信息安全系统设计基础》实验二 固件设计

20145221高其&20145326蔡馨熠<信息安全系统设计基础>实验二 固件设计 实验目的与要求 了解多线程程序设计的基本原理,学习 pthread 库函数的使用. 了解在 linux 环境下串行程序设计的基本方法. 掌握终端的主要属性及设置方法,熟悉终端I /O 函数的使用.学习使用多线程来完成串口的收发处理. 熟悉linux开发环境,学会基于S3C2410的linux开发环境的配置和使用.使用linux的armv4l-unknown-linux-gcc编译,使用基于NFS方式的